Artikel: "Proxmox Script Drama: Why Maintainers Are Walking Away and What It Means for Users" (Probleme in der Proxmox Community)

[oicfar]

Hi,

bin heute auf dieses https://medium.com/@PlanB./proxmox-...away-and-what-it-means-for-users-88029be7e2b8 Artikel gestoßen und wunderte mich, dass ich das bisher nicht mitbekommen habe.

Für die, die kein Medium Abo haben, packe ich eine Zusammenfassung, die von DeepSeek generiert wurde. Denke, dass das den einen oder anderen interessieren sollte, was da steht.

---

Der Artikel „Proxmox Script Drama: Why Maintainers Are Walking Away and What It Means for Users“ von Mr.PlanB beschreibt die aktuellen Probleme in der Proxmox Virtual Environment (ProxmoxVE)-Community, insbesondere im Zusammenhang mit den Community-Skripten, die zur Automatisierung von Aufgaben wie Softwareinstallationen und Updates verwendet werden.

Das Problem:​

1. Rückzug der Maintainer: Einige der wichtigsten Maintainer des ProxmoxVE-Skript-Repositories haben sich zurückgezogen. Dies liegt nicht daran, dass sie das Interesse verloren haben, sondern an Bedenken hinsichtlich der Handhabung des Projekts. Ursprünglich wurde das Repository von einer Gruppe von Maintainern betreut, die Änderungen überprüfen und genehmigen sollten. Im Laufe der Zeit wurde jedoch deutlich, dass eine Person die Kontrolle über das Repository hatte, was zu Frustration und einem Vertrauensverlust führte.
2. Sicherheitsbedenken: Ein zentrales Problem ist die nachlassende Sicherheit. Früher musste jedes Skript, das hinzugefügt oder aktualisiert wurde, mehrere Genehmigungen durchlaufen, um sicherzustellen, dass es stabil und sicher war. Dieser Prozess wurde jedoch lockerer gehandhabt, was Bedenken hinsichtlich der Qualitätskontrolle aufkommen ließ. Einige Skripte erfordern Root-Zugriff, was das Risiko erhöht, dass schädlicher Code eingeschleust werden könnte, wenn die Quelle kompromittiert wird.
3. Frustration über Entscheidungsprozesse: Die Maintainer waren frustriert über die Art und Weise, wie Entscheidungen getroffen wurden, und fühlten sich übergangen. Dies führte dazu, dass einige von ihnen das Projekt verließen, anstatt weiterhin gegen eine undurchsichtige Führung zu kämpfen.

Auswirkungen auf die Nutzer:​

• Sicherheitsrisiken: Nutzer, die auf diese Skripte angewiesen sind, müssen vorsichtig sein, da die Skripte möglicherweise nicht mehr ausreichend überprüft werden. Es wird empfohlen, die Skripte vor der Ausführung zu überprüfen oder eigene Forks des Repositories zu erstellen, um die Kontrolle über Änderungen zu behalten.
• Unsicherheit über die Zukunft: Die Nutzer sind unsicher, wie es mit den Skripten weitergeht. Einige hoffen auf eine Rückkehr zu strengeren Überprüfungsprozessen, während andere vorschlagen, dass Proxmox selbst die Skripte offiziell übernehmen sollte, um mehr Stabilität und Verantwortlichkeit zu gewährleisten.

Größeres Bild:​

Der Artikel betont, dass es sich hier um ein grundlegendes Problem des Vertrauens in Open-Source-Projekte handelt. Open-Source-Projekte leben von der Gemeinschaft, und wenn das Vertrauen in die Maintainer schwindet, müssen die Nutzer entscheiden, ob sie weiterhin auf diese Projekte setzen wollen. Dies ist kein Einzelfall, sondern ein wiederkehrendes Thema in der Open-Source-Welt, das die Bedeutung von Transparenz, Sicherheit und guter Führung unterstreicht.

Fazit:​

Nutzer sollten sich informiert halten, vorsichtig sein und, wo möglich, die Kontrolle über ihre eigenen Systeme übernehmen. Die Zukunft des Projekts hängt letztlich von der Gemeinschaft ab, die entscheiden muss, wie es weitergeht.

 

[DFFVB]

Ich dachte das war ein Typ der gestorben ist. Und bitte unterscheiden zwischen Proxmox, was ich noch nie mit irgendwelchen Scripten genutzt habe, und eben jenen Scripten die ein Add-On sind.

https://github.com/community-scripts/ProxmoxVE/discussions/237#discussion-7479184

 

[0x8100]

Für die, die kein Medium Abo haben

https://archive.ph/X7Qko

generell halte ich wenig davon, systeme zu betreiben, von denen man nicht genug ahnung hat und dann irgendwelche scripte laufen lässt, die man evtl. nicht versteht. da kann so ein repository eine noch so tolle reputation haben - das richte ich dann lieber selbst ein. wenn ich sowas schon sehe:

bash -c "$(wget -qLO - https://github.com/community-scripts/ProxmoxVE/raw/main/misc/post-pve-install.sh)"

einfach code aus dem netz laden und ungesehen als root ausführen... zum glück hat diese mitteilung nichts mit proxmox ve ansich zu tun.

 

[Loomes]

Ja der ursprüngliche Maintainer der Scripte ist gestorben. Das ist noch gar nicht solange her. Traurig das es so endet und die Menschen nicht einfach ordentlich zusammenarbeiten können.
Aber wie @DFFVB schon sagte hat das überhaupt nichts mit Proxmox selbst zutun.
Das sind/waren Helper Scripte für unerfahrene User die schnell schnell paar Container ans laufen bringen wollten ohne großartig ihr eigenes Wissen zu erweitern.
Sie sind in keinster Weise von Nöten um Proxmox zu betreiben.

 

[oicfar]

Ich dachte das war ein Typ der gestorben ist.

Das habe ich nicht mitbekommen.

habe zwar Proxmox im Einsatz, nutze aber diese Community Skripte nicht. Habe aber mitbekommen, dass im CB Forum diese immer wieder empfohlen werden.

Ergänzung (Gestern um 18:10)

https://archive.ph/X7Qko

Ich habe das Abo, aber daran habe ich nicht gedacht.

generell halte ich wenig davon, systeme zu betreiben, von denen man nicht genug ahnung hat und dann irgendwelche scripte laufen lässt, die man evtl. nicht versteht. da kann so ein repository eine noch so tolle reputation haben - das richte ich dann lieber selbst ein. wenn ich sowas schon sehe:

Sehe ich auch so. Aber es gibt hat wohl viele, die so was blind einsetzen.

 

[Malaclypse17]

Hier sollte etwas klarer differenziert werden, dass diese Scripts der Community entspringen und nichts mit den Entwicklern Proxmox Server Solutions GmbH und Proxmox selbst zu tun haben.

 

[alturismo]

trotzdem ein guter Hinweis da ja doch gerne und viel unerfahrene User zu Prox verwiesen werden da "einfach" dank Helper scripts, dies jedoch nie angesprochen wird und sicherlich kaum einem bewusst ist wer da was prüft ... oder auch nicht

wobei ich schätze, da sind so viele erfahrene User anbei, wenn da "Schadvolles" angeboten würde, wäre dies recht schnell public ... daher würde ich es jetzt auch nicht unbedingt überbewerten.

 

[JumpingCat]

wenn ich sowas schon sehe:
bash -c "$(wget -qLO - https://github.com/community-scripts/ProxmoxVE/raw/main/misc/post-pve-install.sh)"einfach code aus dem netz laden und ungesehen als root ausführen... zum glück hat diese mitteilung nichts mit proxmox ve ansich zu tun.

<ironie>Cool, wie im Enterprise Bereich. Das sudo fehlt</ironie>

Wenn bei einer Software solche Textstellen auftauchen, dann sollte man die tunlichst vermeiden. Das ist höchst unprofessionell. Niemand kann mehr Nachvollziehen was zu dem Zeitpunkt unter der URL stand. Alles was selbstständig was nachlädt fällt in die gleiche Kategorie rein.

 

[GrillSgt]

ich schätze, da sind so viele erfahrene User anbei, wenn da "Schadvolles" angeboten würde, wäre dies recht schnell public .

Schon, aber auch es gab auch schon Manipulationen andernorts die monatelang nicht aufgefallen sind. Ich halte es immer für wichtig nicht wahllos Skripte laufen zu lassen. Insbesondere wenn keinerlei Erfahrungen bestehen was hier nicht selten der Fall ist.

Kurioserweise wird auch häufog wieder gewarnt aber umgekehrt noch häufiger diese Skripte empfohlen.

Das ist auch kein Proxmox Problem allein. Im Prinzip gilt es für jedwede Art von Software.

 

[h00bi]

der ursprüngliche Maintainer der Scripte ist gestorben.

Der helper scripts Guy "tteck" ist tot?

 

[Loomes]

@h00bi jup. Leider. https://github.com/tteck/Proxmox/discussions/4009